NTT西日本に求められる情報漏洩の根本対策

NTT西日本の個人情報漏洩事件の続報

2023年10月17日に発表されたNTT西日本の個人情報漏洩事件の続報が2023年12月19日に公表されました。^※1

続報によると、漏洩件数は10月の時点の900万件から928万件、クライアント数は59社から69社に増加しました。また漏洩した928万件の個人情報の内、117万件がクライアントに紐づけられないものとして、引き続き紐づけ作業などの調査が行われています。

NTT西日本が提示した対処策について

本件に関する前回のコラムにも記載しましたが、NTT西日本は10月の時点で今回の漏洩事件を受けて、以下の対処策を講じるとしています。^※2※3

1. 新設した中継サーバを経由してリモートデスクトップ接続し業務を行うことで、保守作業端末へのダウンロードをシステム的に禁止する
2. 保守作業端末への外部記録媒体の接続を不可化し、持ち出しが必要な業務の場合は相互チェックを行うことをシステムで必須にする
3. 振る舞い検知を実施しタイムリーにアラーム検知できるようにする
4. 定期的なログチェックを徹底する

また11月7日に開催されたNTTの2023年度第２四半期決算会見において、NTT代表取締役社長の島田明氏は「その恒久な対策についても検討を進めており、たとえばUSBメモリーのようなものは業務のなかで基本的には原則使わないとしていたが、『原則』もなく一切使わないような形にする」と、今後の再発防止について表明しています。^※3
島田明氏の発言から、上記2.にある外部記録媒体の相互チェックによる持ち出し許可も全面禁止に改められるのではないかと思われます。

NTT西日本に求められる情報漏洩の根本対策

上述した対処策の内、1.と2.は本件の発生源である保守作業端末を対象にしたもので、3.と4.は振る舞い監視体制やログチェックの体制などの属人的な対応です。島田明氏の発言より2.の外部記録媒体の利用は全面禁止に改められたとしても、他の業務からの漏洩や、悪意のある関係者による内部不正の懸念が残ります。

このような懸念を払拭するためにも、情報漏洩の根本的な対策がNTT西日本には求められていると感じています。

この情報漏洩への根本対策の有効な手段の一つに、IRM(Information Rights Management)による対策が挙げられます。IRMはファイル単位で情報を暗号化し、操作権限を与えることで、情報漏洩対策を行うシステムです。

IRMで保護されたファイルは、暗号化されているのでUSBメモリなどで持ち出されたとしても、暗号化を解くことができずに内部の情報は守られます。また操作権限を管理することで、情報漏洩に繋がる操作を禁止することで情報の不正利用を防ぎます。

時代と共にビジネスが多角化し、業務が複雑化する中、情報漏洩をあらゆるセキュリティリスクから防ぐためには、情報漏洩の根源を絶つ必要があります。IRMであれば、情報漏洩の根源を絶ち、あらゆるセキュリティリスクから情報漏洩を防止することができます。

参考

ＮＴＴビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について（続報）｜ニュースリリース｜ＮＴＴビジネスソリューションズ

NTT西日本子会社、不正持ち出しにより約900万件の顧客情報が流出 [DataClasysコラム]

ＮＴＴビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について（お詫び）（ＮＴＴビジネスソリューションズサイト内PDF）

USBメモリーは原則禁止→全面禁止に　NTT西子会社の情報漏えいで、NTT島田社長が表明 – ITmedia NEWS